![[PukiWiki]](image/pukiwiki.png "[PukiWiki]")
#author("2023-12-30T08:20:09+00:00","default:iseki","iseki") #author("2023-12-30T08:20:22+00:00","default:iseki","iseki") ** CA CERT : 認証局証明書 [#wade4e9c] *** CA [#a88f0cf6] - https://letsencrypt.org/ *** 設定 [#d96635ae] **** CA (認証局) [#m22e885c] - http://www.netp.tuis.ac.jp/moodle21/course/view.php?id=7&page=CA+%E8%A8%AD%E5%AE%9A **** Client [#m32f42d3] - http://www.netp.tuis.ac.jp/moodle21/course/view.php?id=7&page=CA+Client **** 証明書の発行 [#b3afbca0] - http://www.netp.tuis.ac.jp/moodle21/course/view.php?id=7&page=CA+%E8%A8%BC%E6%98%8E%E6%9B%B8%E3%81%AE%E7%99%BA%E8%A1%8C *** CSR の作成 [#xd888d94] openssl req -new -key key.pem -out csr.pem *** CAによる署名 [#u4da7abc] /usr/bin/openssl ca -batch -config /var/CA/JOG_CA/conf/ca.conf -out cert.pem -infiles csr.pem *** 証明書の確認コマンド [#z27f1a77] - バイナリ openssl x509 -inform der -in cert.crt -text - Pem openssl x509 -in cert.pem -text -pkcs12 openssl pkcs12 -in cert.p12 -out cert.pem openssl x509 -in cert.pem -text *** pfx (p12) の作成 [#oe5878cf] openssl pkcs12 -export -in cert.pem -inkey /usr/local/cert/private/key.pem -out cert.p12 *** 失効リスト(CRL) の作成 [#e65db15b] /usr/bin/openssl ca -gencrl -config /var/CA/JOG_CA/conf/ca.conf -revoke 失効させる証明書(PEM) (失効情報が index.txt に書き込まれる) /usr/bin/openssl ca -gencrl -config /var/CA/JOG_CA/conf/ca.conf -out crl/cacrl.pem /usr/bin/openssl crl -inform pem -outform der -in crl/cacrl.pem -out crl/cacrl.crt # バイナリ化 ** Error [#xdd0be8b] *** TXT_DB error (csr を更新していないときのエラー) [#yf0080d5] -- openssl ca -revoke newcerts/#.pem -config 設定ファイル -- または index.txt の内容を削除 *** 署名アルゴリズム [#q965cd96] 安全ではない署名アルゴリズムによって署名されているためこの証明書は信頼されません。 (エラーコード: sec_error_cert_signature_algorithm_disabled) - 恐らく 署名に md5 を使用している. - openssl の設定ファイルで ''default_md = sha256'' などとする. #br
